https://www.opennet.me/openforum/vsluhforumID3/136622.html Разработчики репозитория Python-пакетов PyPI (Python Package Index) сообщили о выявлении проблемы с безопасностью в реализации функции "Organization Team", позволяющей сформировать команду из нескольких разработчиков, совместно работающих над проектом в PyPI. Суть выявленных проблем в том, что привилегии, делегированные пользователю как участнику "Organization Team", сохранялись после удаления пользователя из состава организации. Уязвимость в PyPI была устранена спустя 2 часа после сообщения о наличии проблемы. Проведённый аудит не выявил несанкционированных действий, связанных с использованием не отозванных прав доступа...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=63086<br> https://www.opennet.me/openforum/vsluhforumID3/136622.html#79 Wed, 23 Apr 2025 12:02:43 GMT Про кеш имел ввиду общий случай, как оно было бы в грамотной схеме. Если где-то прокатывает, ну... явно не образец для подражания.<br> https://www.opennet.me/openforum/vsluhforumID3/136622.html#78 Wed, 23 Apr 2025 08:58:51 GMT &gt; Ключевой вопрос здесь в том, "прокатит" ли такой ticket. <br><br>Ээээ... с чего бы ему "не прокатить"? Прокатывает.<br><br>&gt; Что копия (прав) может храниться у пользователя и по стечению обстоятельств может не совпадать - это вполне нормально и называется кеширование (грубо говоря: случилась авария, <br>&gt; нет сети, но требуется примерно знать о группах).<br><br>Ну, да - но нет, совсем нет. Это не "кэш", это "compute field". И это, в общем-то, сильно-сильно не нормально, что он отличается. Но вот - случалось. <br> https://www.opennet.me/openforum/vsluhforumID3/136622.html#76 Wed, 23 Apr 2025 07:38:42 GMT Ключевой вопрос здесь в том, "прокатит" ли такой ticket. Что копия (прав) может храниться у пользователя и по стечению обстоятельств может не совпадать - это вполне нормально и называется кеширование (грубо говоря: случилась авария, нет сети, но требуется примерно знать о группах).<br> https://www.opennet.me/openforum/vsluhforumID3/136622.html#75 Fri, 18 Apr 2025 16:07:15 GMT Возможно потому, что там не по одному куки выбирали для отправки в лог (т.е. выборочно), а сразу весь массив? Лень - не всегда двигатель прогресса.<br> https://www.opennet.me/openforum/vsluhforumID3/136622.html#72 Fri, 18 Apr 2025 04:35:05 GMT Я второй раз за неделю сталкиваюсь с ситуацией, когда человек сначала заявляет, что не хочет плясать на костях, а потом демонстрирует поведение, которое он, судя по всему, считает "пляской на костях". Что происходит? Майндконтроль со стороны инопланетян, и вы делаете не то, что хотите делать сами, а то, что хотят инопланетяне?<br> https://www.opennet.me/openforum/vsluhforumID3/136622.html#68 Thu, 17 Apr 2025 11:47:31 GMT Да фигня, мы из без ДевШлёпсов 25 лет почти сразу в прод пишем с минимальным тестированием и всё нормально так пашет. Прод рад быстрой реакции, а мы смелые парни, не то, что местные зассыхи!<br> https://www.opennet.me/openforum/vsluhforumID3/136622.html#67 Thu, 17 Apr 2025 11:43:56 GMT &gt; А у нас даже пароли в логи пишутся, начальник в курсе и ему всё равно.<br><br>А иначе пришлось бы стикер с паролем к монитору клеить. Начальник мудр.<br> https://www.opennet.me/openforum/vsluhforumID3/136622.html#65 Thu, 17 Apr 2025 07:46:42 GMT Если периодически с ними работать, то нужно определиться за какой период держать активные логи доступными для анализа. Как только период определен, остальные логи можно складывать на холодное или ледяное S3 хранилище в облаке, там тарифы не такие дорогие за хранение.<br> https://www.opennet.me/openforum/vsluhforumID3/136622.html#62 Thu, 17 Apr 2025 07:21:34 GMT У меня для тебя хреновые новости, но ты уже почти взрослый и тебе пора узнать правду: сбежать оттуда сможет снова только начальник. У раба цепь слишком короткая.<br><br>